Effectieve analyse output van kwetsbaarheidscanners
Inleiding
Het is noodzakelijk om met regelmaat IT systemen te controleren op kwetsbaarheden. Dit kan met kwetsbaarheidscanners als bijvoorbeeld Nessus of OpenVAS. Het probleem (of de uitdaging) begint eigenlijk zodra de scan gereed is en de output moet worden geanalyseerd. Vaak zijn het enorme hoeveelheden bevindingen die uit de output van kwetsbaarheidscanners komen.
Effectief de output van kwetsbaarheidscanners beoordelen
Uiteraard is het beoordelen van de eerste scan veel werk, maar hoe voorkom je dat je bij de volgende scan weer de hele output moet beoordelen? De zaken die niet interessant zijn wil je de volgende keer niet meer zien, zodat je je alleen kunt concentreren op de nieuwe bevindingen. Er zijn hiervoor diverse software pakketten beschikbaar, ik benoem een drietal voornamelijk open source producten die mogelijk interessant voor je kunnen zijn.
OpenVAS of Nessus
OpenVAS en Nessus zijn kwetsbaarheidscanners. In deze applicaties is een functionaliteit gemaakt die de mogelijkheid biedt om uitgevoerde scans met elkaar te vergelijken. Middels deze functionaliteit kan er bijvoorbeeld voor gekozen worden om alleen een rapport te genereren van de wijzigingen die hebben plaatsgevonden ten opzichte van de vorige scan. Nessus is al een tijd geleden een commercieel product geworden. OpenVAS is vervolgens als een open source fork van Nessus verder gegaan.
Diff software
Diff software is de verzamelnaam van een heel aantal tools dat bestanden met elkaar kan vergelijken. Stel je voert een scan uit met NMAP. Dit levert een tekst- of xml bestand op met open en gesloten poorten. Deze analyseer je en waar nodig los je issues op. Om te controleren of de issues zijn opgelost voer je weer een vergelijkbare scan uit. De output hiervan kun je met een diff programma controleren om zodoende alleen te focussen op de wijzigingen ten opzichte van de vorige keer. Voor Windows is het pakket Winmerge hiervoor goed te gebruiken. http://winmerge.org/. NMAP heeft zelf ook een tool beschikbaar die bestanden in xml formaat zijn gemaakt met elkaar te kunnen vergelijken. Dit is een python script met de naam Ndiff. Voor meer informatie: https://nmap.org/ndiff/
Seccubus
Wil je een stap verder dan is de open source applicatie Seccubus de moeite waard om eens te bekijken. Met dit software pakket kun je het analyseren van output effectief managen. Vanuit de Seccubus applicatie worden de kwetsbaarheidscanners gestart. De belangrijkste als Nessus, OpenVAS, Nikto en NMAP worden allemaal ondersteund.
De bevindingen verschijnen overzichtelijk in het pakket en vervolgens kun je besluiten wat er mee moet gebeuren. Bevindingen die je niet weer wilt zien kun je een status meegeven waarmee ze volgende keer niet weer verschijnen. Het is mogelijk een bevindingen een status mee te geven zodat deze alleen als er iets zal wijzigen weer zal worden getoond. Idem kan een bevinding de status open krijgen waarmee deze bevindingen te managen zijn. Verder biedt het pakket de mogelijkheid om een beschrijving op te nemen per bevinding. Dit geeft de mogelijkheid om later terug te zien waarom er bijvoorbeeld een bepaalde keuze is gemaakt. Zoek je een effectief management pakket dan raad ik je aan eens een te kijken op: www.seccubus.com
Conclusie
Effectieve analyse van output van kwetsbaarheidscanners is mogelijk door gebruik te maken van een aantal tools. Zonder deze middelen is analyse te tijdrovend en de kans op fouten te groot. Naast de genoemde producten zijn er uiteraard ook diverse commerciele pakketten op de markt die deze mogelijkheden bieden.